mon PC est-il attaqué?
mon PC est-il attaqué? - Sécurité - Windows & Software
Marsh Posté le 21-07-2005 à 23:16:27
non c'est un abonné Free RTC ou ADSL non dégroupé
http://www.dnsstuff.com/tools/whois.ch?ip=62.147.0.0
quelles sont ces attaques ? numéro de ports utilisés ?
Message édité par jlighty le 21-07-2005 à 23:18:14
Marsh Posté le 21-07-2005 à 23:17:31
Free RTC... ça ferait presque pitié de savoir qu'un pauvre t'en veux ! 
Marsh Posté le 21-07-2005 à 23:21:45
Bah tu restes protégé et puis voilà.
Si t'en as marre, tu dénonces l'adresse IP chez Free et tu verras bien...
Marsh Posté le 21-07-2005 à 23:22:59
d'après ce que j'ai entendu, Free est relativement efficace en cas d'abus de ce type.
Par contre il faut fournir un maximum d'informations :IP, date, type d'attaque...
Message édité par jlighty le 21-07-2005 à 23:23:42
Marsh Posté le 22-07-2005 à 13:21:33
Merci à tous, le problème justement, c'est que chaque "attaque" recensée par ZA n'a pas la même IP (à part le début soit 62.147. Je met un screen.
http://img346.imageshack.us/img346/622/xxx8yy.jpg
Marsh Posté le 22-07-2005 à 13:41:44
si tu leur fournis l'IP et l'heure exacte à laquelle tu as été attaqué avec cette IP ils sauront de quel abonné il s'agit
Message édité par Patchou le 22-07-2005 à 13:42:04
Marsh Posté le 22-07-2005 à 15:26:15
de toute manière c'est une machine (ou des machines) vérolée qui essaye d'accéder au port 445, je ne pense pas que ce soit une attaque ciblée.
Message édité par jlighty le 22-07-2005 à 15:26:30
Marsh Posté le 23-07-2005 à 09:59:49
il sort de la machine attaquante par le port 445 mais essaie d'entrer à chaque fois par un port différent, regarde bien
Marsh Posté le 23-07-2005 à 20:38:20
Ok merci , vous pensez donc que c'est pas une attaque dangereuse?
Nuke nabber m'indique qu'il essaye bcp le port 5000, il a quelque chose de special ce port?
De plus, quand je lance un "netstat" la ligne suivante s'affiche:
http://img195.imageshack.us/img195/5530/yy1ad.jpg
ça voudrait dire qu'il a réussi à rentrer dans mon PC???? 
Message édité par sol_bianca le 23-07-2005 à 20:44:39
Marsh Posté le 23-07-2005 à 22:29:00
| Citation : il sort de la machine attaquante par le port 445 mais essaie d'entrer à chaque fois par un port différent, regarde bien |
d'après les captures d'écrans, la machine attanquante utilise un port source quelconque mais elle attaque uniquement le port 445 de la victime.
| Citation : Nuke nabber m'indique qu'il essaye bcp le port 5000, il a quelque chose de special ce port? |
As tu un P2P qui tourne ? car ce n'est pas normal qu'une liaison est établie sur le port 5000.
As tu des programmes qui nécessite une connexion spéciale(port >1024) au net ? messagerie instantané...
Marsh Posté le 23-07-2005 à 22:48:06
| sol_bianca a écrit : Ok merci , vous pensez donc que c'est pas une attaque dangereuse? |
Tant qu'il cause, c'est qu'il détecte quelque chose, donc qu'il fait son boulot ... 
(il = ZA)
Quand il dira plus rien, inquiète-toi 
Marsh Posté le 23-07-2005 à 22:56:59
J'utilise msn messenger, pas de P2P.
Mais je n'ai pas de liaison sur le port 5000, Nuke Nabber m'indique juste :
| Citation : [07/23/2005 20:25:51.937 GMT+0200] Connection: lns-vlq-8-tou-62-147-184-95.adsl.proxad.net (62.147.184.95) avec le port 5000 (tcp). |
Sans plus d'indication.Vous savez rien concernant le dernier screen avec le "epmap"???
Merci bcp de m'aider. 
Marsh Posté le 23-07-2005 à 23:53:09
A la rigueur, tu peux sniffer le traffic sur le port 5000 (ethereal.org)
Marsh Posté le 23-07-2005 à 23:56:26
D'après la capture d'écran voilà ce que je conclu :
la machine de l'"attaquant" est connecté au port 135 (epmap) ce qui sous entends deux choses :
- le firewall est mal configuré car sur une machine Windows les ports 135-139 et 445 doivent être bloqués
- la connexion est établie : la personne accède peut être à tes partages ou le ver commence son infection en attaquant le port 135.
PS : tu parles de port 5000, mais tu l'as constaté où ?
Message édité par jlighty le 23-07-2005 à 23:57:00
Marsh Posté le 24-07-2005 à 00:04:46
Le port 5000 c'est Nuke nabber qui me le montre (voir plus haut la liste des messages qu'il me donne.)
J'utilise ZA pro (en version d'évaluation dans quelque jours, je repasse au normal) mais je ne configure jamais les ports, je ne fait qu'accepter ou refuser les demandes d'accés des programmes à Internet.
Marsh Posté le 24-07-2005 à 00:13:21
Par contre est ce que Nuke nabber peut te renseigner sur l'attaque de cette façon :
adresse IP attaquant et numéro port attaquant puis
adresse IP victime et numéro port victime
car
| Citation : [07/23/2005 20:25:51.937 GMT+0200] Connection: lns-vlq-8-tou-62-147-184-95.adsl.proxad.net (62.147.184.95) avec le port 5000 (tcp). |
je ne sais pas si 5000 c'est le port de la victime ou le port de l'attaquant.
Marsh Posté le 24-07-2005 à 13:06:27
Nuke nabber ne précise pas, désolé.
J' ai remarqué un processus que je n'avais jamais vu auparavant : 3cshtdwn.exe, ça peut avoir un rapport avec?
Edit : aprés recherche, c'est en rapport avec mon modem (us.robotik)
donc pas de pb.J'avais eu peur parce que ça me faisait penser à "shutdown".
Je DL le sniffer et le log anti-spyware complexe qui est apparemment efficace "Hijack" un truc comme ça.
Message édité par sol_bianca le 24-07-2005 à 13:19:44
Sujets relatifs:
- Attaque Lovesan
- "Attaque" de Chinois !
- Help, attaque massive de virus mail !!
- Mass attaque ?
- Attaque incessante
- victime d'une attaque DROP BASE (mysql)
- attaque "mssql_null_packet_dos" ???
- Caramail + Alias sous attaque ???
- Attaque sévère de popup
- Petite attaque vicieuse...
Marsh Posté le 21-07-2005 à 23:11:28
Bonjour à tous,
Exposition du pb
Depuis quelques semaines maintenant, mon firewall (zone alarme) m'indique de nombreuses alertes provenants toujours de l'Ip
62.147.xxx.xxx (xxx=variable).
Ces attaques (si tel est le cas) sont de l'ordre de 4 à 5 par minutes.
Je n'ai pas de logiciel espions (du moins ad-ware SE n'indique rien)
je précise, parce que ces "attaques" sont continuelles même avec reboot du modem pour changement d' IP (/me 56K).
j'ai installé Nuke nabber sur le conseil d'une connaissance.
Je ne me suis jamais posé la question avant , je pensais que c'était normal jusqu'à ce qu'on me dise que non.
question
Quelqu'un sait-il quoi faire? conseil ou n'inporte quoi.
Merci